Auf dieser Seite wird erläutert, wie Sie vom Kunden verwaltete Cloud KMS-Verschlüsselungsschlüssel in anderen Google Cloud-Diensten zum Schutz Ihrer Ressourcen verwenden. Weitere Informationen finden Sie unter Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK).
Wenn ein Dienst CMEK unterstützt, heißt er eine CMEK-Integration. Einige Dienste, z. B. GKE, verfügen über mehrere CMEK-Integrationen zum Schutz verschiedener Datentypen im Zusammenhang mit dem Dienst. Eine Liste der Dienste mit CMEK-Integrationen finden Sie auf dieser Seite unter CMEK für unterstützte Dienste aktivieren.
Hinweise
Bevor Sie Cloud KMS-Schlüssel in anderen Google Cloud-Diensten verwenden können, benötigen Sie eine Projektressource, die Ihre Cloud KMS-Schlüssel enthält. Wir empfehlen, für Ihre Cloud KMS-Ressourcen ein separates Projekt zu verwenden, das keine anderen Google Cloud-Ressourcen enthält.
CMEK-Integrationen
Aktivierung der CMEK-Integration vorbereiten
Die genauen Schritte zum Aktivieren von CMEK finden Sie in der Dokumentation zum jeweiligen Google Cloud-Dienst. Auf dieser Seite finden Sie unter CMEK für unterstützte Dienste aktivieren für jeden Dienst einen Link zur CMEK-Dokumentation. Sie können für jeden Dienst ähnliche Schritte wie die folgenden ausführen:
Erstellen Sie einen Schlüsselbund oder wählen Sie einen vorhandenen Schlüsselbund aus. Der Schlüsselbund sollte sich so geografisch wie möglich in der Nähe der Ressourcen befinden, die Sie sichern möchten.
Erstellen Sie einen Schlüssel im ausgewählten Schlüsselbund oder wählen Sie einen vorhandenen Schlüssel aus. Prüfen Sie, ob das Schutzniveau, der Zweck und der Algorithmus für den Schlüssel für die Ressourcen geeignet sind, die Sie schützen möchten. Dieser Schlüssel ist der CMEK-Schlüssel.
Rufen Sie die Ressourcen-ID für den CMEK-Schlüssel ab. Sie benötigen diese Ressourcen-ID später.
Gewähren Sie dem Dienstkonto für den Dienst die IAM-Rolle CryptoKey Encrypter/Decrypter (
roles/cloudkms.cryptoKeyEncrypterDecrypter) für den CMEK-Schlüssel.
Nachdem Sie den Schlüssel erstellt und die erforderlichen Berechtigungen zugewiesen haben, können Sie einen Dienst erstellen oder konfigurieren, um Ihren CMEK-Schlüssel zu verwenden.
Cloud KMS-Schlüssel mit CMEK-integrierten Diensten verwenden
In den folgenden Schritten wird als Beispiel Secret Manager verwendet. Die genauen Schritte zur Verwendung eines Cloud KMS-CMEK-Schlüssels in einem bestimmten Dienst finden Sie, wenn Sie diesen Dienst in der Liste der CMEK-integrierten Dienste suchen.
In Secret Manager können Sie einen CMEK verwenden, um ruhende Daten zu schützen.
Wechseln Sie in der Google Cloud Console zur Seite Secret Manager.
Klicken Sie zum Erstellen eines Secrets auf Secret erstellen.
Wählen Sie im Abschnitt Verschlüsselung die Option Vom Kunden verwalteten Verschlüsselungsschlüssel (CMEK) verwenden aus.
Führen Sie im Feld Verschlüsselungsschlüssel folgende Schritte aus:
Optional: So verwenden Sie einen Schlüssel in einem anderen Projekt:
- Klicken Sie auf Projekt wechseln.
- Geben Sie den Projektnamen ganz oder teilweise in die Suchleiste ein und wählen Sie dann das Projekt aus.
- Klicken Sie auf Auswählen, um die verfügbaren Schlüssel für das ausgewählte Projekt aufzurufen.
Optional: Wenn Sie verfügbare Schlüssel nach Standort, Schlüsselbund, Name oder Schutzniveau filtern möchten, geben Sie Suchbegriffe in die Filterleiste ein.
Wählen Sie einen Schlüssel aus der Liste der verfügbaren Schlüssel im ausgewählten Projekt aus. Sie können die angezeigten Details zu Speicherort, Schlüsselbund und Schutzniveau verwenden, um sicherzugehen, dass Sie den richtigen Schlüssel auswählen.
Wenn der Schlüssel, den Sie verwenden möchten, nicht in der Liste enthalten ist, klicken Sie auf Schlüssel manuell eingeben und geben Sie die Ressourcen-ID des Schlüssels ein.
Schließen Sie die Konfiguration Ihres Secrets ab und klicken Sie dann auf Secret erstellen. Secret Manager erstellt das Secret und verschlüsselt es mit dem angegebenen CMEK-Schlüssel.
CMEK für unterstützte Dienste aktivieren
Zum Aktivieren von CMEK suchen Sie zuerst den gewünschten Dienst in der folgenden Tabelle. Sie können Suchbegriffe in das Feld eingeben, um die Tabelle zu filtern. Alle Dienste in dieser Liste unterstützen Software- und Hardwareschlüssel (HSM). Produkte, die bei Verwendung externer Cloud EKM-Schlüssel in Cloud KMS eingebunden werden, sind in der Spalte EKM unterstützt aufgeführt.
Folgen Sie der Anleitung für jeden Dienst, für den Sie CMEK-Schlüssel aktivieren möchten.
| Dienst | Durch CMEK geschützt | EKM-unterstützt | Thema |
|---|---|---|---|
| AI Platform Training | Daten auf VM-Laufwerken | Nein | Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden |
| AlloyDB for PostgreSQL | Daten, die in Datenbanken geschrieben werden | Ja | Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden |
| Anti Money Laundering AI | Daten in AML AI-Instanzressourcen | Nein | Daten mit vom Kunden verwalteten Verschlüsselungsschlüsseln (CMEK) verschlüsseln |
| Application Integration | Daten, die zur Anwendungsintegration in Datenbanken geschrieben werden | Nein | Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden |
| Artifact Registry | Daten in Repositories | Ja | Vom Kunden verwaltete Verschlüsselungsschlüssel aktivieren |
| Backup for GKE | Daten in Sicherung für GKE | Ja | Informationen zur CMEK-Verschlüsselung von Backup for GKE |
| BigQuery | Daten in BigQuery | Ja | Daten mit Cloud KMS-Schlüsseln schützen |
| Bigtable | Ruhende Daten | Ja | Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) |
| Cloud Composer | Umgebungsdaten | Ja | Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden |
| Cloud Data Fusion | Umgebungsdaten | Ja | Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden |
| Cloud Functions | Daten in Cloud Functions | Ja | Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden |
| Cloud Logging | Daten im Logrouter | Ja | Schlüssel verwalten, die Log Router-Daten schützen |
| Cloud Logging | Daten im Logging-Speicher | Ja | Schlüssel verwalten, die Logging-Speicherdaten schützen |
| Cloud Run | Container-Image | Ja | Vom Kunden verwaltete Verschlüsselungsschlüssel mit Cloud Run verwenden |
| Cloud SQL | Daten, die in Datenbanken geschrieben werden | Ja | Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden |
| Cloud Storage | Daten in Storage-Buckets | Ja | Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden |
| Cloud Tasks | Aufgabentext und ruhende Kopfzeile | Ja | Kundenverwaltete Verschlüsselungsschlüssel verwenden |
| Cloud Workstations | Daten auf VM-Laufwerken | Ja | Workstationressourcen verschlüsseln |
| Compute Engine | Nichtflüchtige Speicher | Ja | Ressourcen mit Cloud KMS-Schlüsseln schützen |
| Compute Engine | Snapshots | Ja | Ressourcen mit Cloud KMS-Schlüsseln schützen |
| Compute Engine | Benutzerdefinierte Images | Ja | Ressourcen mit Cloud KMS-Schlüsseln schützen |
| Compute Engine | Maschinen-Images | Ja | Ressourcen mit Cloud KMS-Schlüsseln schützen |
| Contact Center AI Insights | Ruhende Daten | Ja | Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) |
| Database Migration Service – Homogene Migrationen | MySQL-Migrationen – in Datenbanken geschriebene Daten | Ja | Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden |
| Database Migration Service – Homogene Migrationen | PostgreSQL-Migrationen – in Datenbanken geschriebene Daten | Ja | Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden |
| Database Migration Service – Homogene Migrationen | Migrationen von PostgreSQL zu AlloyDB – Daten in Datenbanken geschrieben | Ja | Informationen zu CMEK |
| Heterogene Migrationen von Database Migration Service | Inaktive Daten von Oracle zu PostgreSQL | Ja | Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) für kontinuierliche Migrationen verwenden |
| Dataflow | Pipeline-Zustandsdaten | Ja | Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden |
| Dataform (Vorabversion) | Daten in Repositories | Nein | Kundenverwaltete Verschlüsselungsschlüssel verwenden |
| Dataproc | Daten von Dataproc-Clustern auf VM-Laufwerken | Ja | Vom Kunden verwaltete Verschlüsselungsschlüssel |
| Dataproc | Serverlose Dataproc-Daten auf VM-Laufwerken | Ja | Vom Kunden verwaltete Verschlüsselungsschlüssel |
| Dataproc Metastore | Ruhende Daten | Ja | Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden |
| Datastream | Daten während der Übertragung | Nein | Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden |
| Dialogflow CX | Ruhende Daten | Nein | Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) |
| Document AI | Ruhende und verwendete Daten | Ja | Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) |
| Eventarc | Ruhende Daten | Ja | Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) verwenden |
| Filestore | Ruhende Daten | Ja | Daten mit vom Kunden verwalteten Verschlüsselungsschlüsseln verschlüsseln |
| Google Distributed Cloud Edge | Daten auf Edge-Knoten | Ja | Sicherheit im lokalen Speicher |
| Google Kubernetes Engine | Daten auf VM-Laufwerken | Ja | Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden |
| Google Kubernetes Engine | Secrets auf Anwendungsebene | Ja | Verschlüsselung von Secrets auf Anwendungsebene |
| Looker (Google Cloud Core) | Ruhende Daten | Ja | CMEK für Looker (Google Cloud Core) aktivieren |
| Memorystore for Redis | Ruhende Daten | Ja | Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) |
| Migrate to Virtual Machines (Vorschau) | Aus VMware-Quellen migrierte Daten | Ja | Migrate Connector als Google Cloud-Quelle registrieren |
| Migrate to Virtual Machines (Vorschau) | Aus AWS-Quellen migrierte Daten | Ja | AWS-Quelle erstellen |
| Migrate to Virtual Machines (Vorschau) | Aus Azure-Quellen migrierte Daten | Ja | Azure-Quelle erstellen |
| Migrate to Virtual Machines (Vorschau) | Migrierte Laufwerke | Ja | Ziel für ein migriertes VM-Laufwerk konfigurieren |
| Migrate to Virtual Machines (Vorschau) | Migrierte VMs | Ja | Ziel für eine migrierte VM konfigurieren |
| Pub/Sub | Mit Themen verknüpfte Daten | Ja | Nachrichtenverschlüsselung konfigurieren |
| Secret Manager | Secret-Nutzlasten | Ja | Vom Kunden verwaltete Verschlüsselungsschlüssel für Secret Manager aktivieren |
| Secure Source Manager | Instanzen | Ja | Daten mit vom Kunden verwalteten Verschlüsselungsschlüsseln verschlüsseln |
| Spanner | Ruhende Daten | Ja | Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) |
| Speaker ID (GANZ eingeschränkt) | Ruhende Daten | Ja | Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden |
| Speech-to-Text | Ruhende Daten | Ja | Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden |
| Vertex AI | Mit Ressourcen verknüpfte Daten | Ja | Vom Kunden verwaltete Verschlüsselungsschlüssel verwenden |
| Von Vertex AI Workbench verwaltete Notebooks | Inaktive Nutzerdaten | Nein | Vom Kunden verwaltete Verschlüsselungsschlüssel |
| Vertex AI Workbench: Nutzerverwaltete Notebooks | Daten auf VM-Laufwerken | Nein | Vom Kunden verwaltete Verschlüsselungsschlüssel |
| Vertex AI Workbench-Instanzen | Daten auf VM-Laufwerken | Ja | Vom Kunden verwaltete Verschlüsselungsschlüssel |
| Workflows | Ruhende Daten | Ja | Vom Kunden verwaltete Verschlüsselungsschlüssel (CMEK) verwenden |